Millones de usuarios de aplicaciones de salud mental para Android podrían estar en riesgo debido a graves fallos de seguridad. Investigadores han descubierto un total de 1.575 vulnerabilidades en diez aplicaciones analizadas, incluyendo 54 de alta severidad y 538 de severidad media.
Estas aplicaciones, que cuentan con más de 14,7 millones de instalaciones combinadas desde Google Play, ofrecen herramientas para el manejo de diversas condiciones como la depresión clínica, la ansiedad, ataques de pánico, estrés y trastorno bipolar. Algunas incluso se promocionan como «compañeros de IA» diseñados para brindar apoyo emocional.
Sorprendentemente, al menos seis de las diez aplicaciones analizadas afirman que las conversaciones o chats de los usuarios permanecen privados o están encriptados de forma segura en sus servidores. Sin embargo, la realidad es que los datos de salud mental son particularmente valiosos en el mercado negro, llegando a venderse por más de 1.000 dólares por registro, superando con creces el valor de los datos de tarjetas de crédito, según Sergey Toshin, fundador de la empresa de seguridad móvil Oversecured.
El análisis detallado de las aplicaciones reveló la siguiente cantidad de vulnerabilidades:
- Seguimiento de hábitos y estado de ánimo: 337 vulnerabilidades (1 de alta, 147 medias, 189 bajas).
- Chatbot de terapia con IA: 255 vulnerabilidades (23 de alta, 63 medias, 169 bajas).
- Plataforma de salud emocional con IA: 215 vulnerabilidades (13 de alta, 124 medias, 78 bajas).
- Seguimiento de salud y síntomas: 211 vulnerabilidades (7 de alta, 31 medias, 173 bajas).
- Herramienta de manejo de la depresión: 157 vulnerabilidades (66 medias, 91 bajas).
- Aplicación de ansiedad basada en TCC: 110 vulnerabilidades (3 de alta, 45 medias, 62 bajas).
- Comunidad de terapia y apoyo en línea: 98 vulnerabilidades (7 de alta, 20 medias, 71 bajas).
- Autoayuda para la ansiedad y las fobias: 69 vulnerabilidades (15 medias, 54 bajas).
- Gestión del estrés militar: 62 vulnerabilidades (12 medias, 50 bajas).
- Chatbot de TCC con IA: 61 vulnerabilidades (15 medias, 46 bajas).
Aunque ninguna de las vulnerabilidades detectadas se considera crítica, muchas podrían ser aprovechadas para interceptar credenciales de inicio de sesión y suplantar notificaciones.
